Des informations personnelles sur chaque internaute, diffusées plusieurs centaines de fois par jour à des milliers d’entreprises : pour la première fois, L’Irish Council for Civil Liberties (ICCL), une organisation non gouvernementale irlandaise très active dans la protection de la vie privée, révèle des données chiffrées sur la pratique publicitaire des enchères.
Les enchères en temps réel (ou RTB, pour real-time bidding) sont une pratique très courante dans la publicité en ligne. Elles diffèrent de la publicité « classique », qui affiche des encarts sur un site contre une rémunération fixée en fonction du nombre de visites ou de clics qu’elle génère. Dans le système RTB, l’annonceur déclare qu’il veut que sa publicité s’affiche pour une catégorie de personnes et c’est ensuite un système d’enchères en temps réel, entièrement automatisé, qui décide où elle va s’afficher – les annonceurs sont en compétition pour cet affichage et l’offre la plus haute l’emporte. C’est un peu comme si, en lieu et place d’affiches statiques, les panneaux que vous apercevez au bord d’une route affichaient des publicités spécifiques pour chaque conducteur, en fonction de ses centres d’intérêt.
Sur Internet, si un constructeur automobile veut cibler des hommes de 30 à 40 ans s’intéressant aux voitures, le système RTB peut identifier en une fraction de seconde qu’une personne ayant ce profil est en train de se connecter à un site Internet et afficher pour elle la publicité du constructeur. Google, Microsoft et bien d’autres sociétés publicitaires proposent des services de ce type.
Des données diffusées des centaines de fois par jour
Mais pour fonctionner, ce système doit diffuser un très grand nombre de données personnelles aux régies publicitaires – c’est ce qui leur permet de savoir « en temps réel », pour reprendre notre exemple, que l’internaute qui vient de cliquer sur un site Web est un homme de 30 à 40 ans qui s’intéresse aux voitures. L’ICCL a eu accès à un système de traçage interne à l’industrie publicitaire et les chiffres qui en sont issus donnent le tournis.
Les documents montrent que des données sont diffusées en moyenne 340 fois par jour pour chaque internaute français ; aux Etats-Unis, où les lois sur la protection des données sont beaucoup moins strictes qu’en Europe, ce nombre peut monter à près de 1 000 fois par jour dans certains Etats. Par ailleurs, ces données sont diffusées à un très grand nombre de sociétés et d’intermédiaires : Google, qui est le leader mondial de la publicité programmatique, compte un millier de partenaires en Europe et plus de 4 500 aux Etats-Unis, d’après les données de l’ICCL. « Parmi ces partenaires se trouvent des entreprises russes et chinoises », note l’organisation, qui estime qu’il est « impossible de savoir ce qu’elles font des données ».
La manière dont les data brokers (revendeurs de données) et l’industrie de la publicité ciblée gèrent les données personnelles a été au cœur de différents scandales ces derniers mois. Plusieurs enquêtes de presse ont notamment démontré que des données publicitaires étaient achetées et collectées par des forces de police aux Etats-Unis, notamment à des fins de géolocalisation. Début mai, une enquête du magazine Wired montrait qu’il était très facile d’acheter des données qui permettent de compiler des listes de femmes s’étant rendues dans un centre qui pratique l’interruption volontaire de grossesse.
Le système même de la publicité programmatique constitue « la plus grande des fuites de données », estime l’ICCL, en diffusant des informations comme la géolocalisation ou l’historique de navigation d’internautes européens « 197 milliards de fois par jour ». L’organisation a déposé plusieurs plaintes contre ces pratiques depuis 2018, y compris, en mars, contre l’autorité irlandaise de protection de la vie privée, que l’organisation accuse d’avoir manqué à ses obligations.